Win32/Qhost троянская программа
Нод32 находит и постоянно выходит сообщение: очищен удалением - изолирован.
Но Нод постоянно находит данный троян. После перезагрузки компьютера, вновь выходит это сообщение о вирусе.
Win32/Qhost троянская программа
Нод32 находит и постоянно выходит сообщение: очищен удалением - изолирован.
Но Нод постоянно находит данный троян. После перезагрузки компьютера, вновь выходит это сообщение о вирусе.
Уважаемый(ая) Сергей Викторович, спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила оформления запроса о помощи.
Здравствуйте!
Закройте все программы
Отключите
- Антивирус и Файрвол (http://virusinfo.info/showthread.php?t=130828)
1. Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ:
Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:Код:begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(true); end; ClearQuarantine; QuarantineFile('C:\Windows\system32\vpfeiepvоvw89lw`ю.exe',''); QuarantineFile('C:\Windows\system32\tvzrusѕuоYwАt`ю.exe',''); QuarantineFile('C:\Windows\system32\qdwxyuowоyw>вдv`ю.exe',''); QuarantineFile('C:\Windows\system32\pztbgzОu”fУuо@wЛMt.exe',''); QuarantineFile('C:\Windows\system32\pfrhmiRv”fWvоwжбБu.exe',''); QuarantineFile('C:\Windows\system32\ossmse)v”f.vоqw',''); QuarantineFile('C:\Windows\system32\nhxinfhv”fЛvоwЃДwu.exe',''); QuarantineFile('C:\Windows\system32\miltrevuоYwZђt`ю.exe',''); QuarantineFile('C:\Windows\system32\lrniopRv”fWvоw2”µs.exe',''); QuarantineFile('C:\Windows\system32\jnmellЮv”fгvоЏwЊ…w.exe',''); QuarantineFile('C:\Windows\system32\jdoviddv”fЛvоw«кw.exe',''); QuarantineFile('C:\GoTView\remote.exe',''); DeleteFile('C:\Windows\system32\jdoviddv”fЛvоw«кw.exe','32'); DeleteFile('C:\Windows\system32\jnmellЮv”fгvоЏwЊ…w.exe','32'); DeleteFile('C:\Windows\system32\lrniopRv”fWvоw2”µs.exe','32'); DeleteFile('C:\Windows\system32\miltrevuоYwZђt`ю.exe','32'); DeleteFile('C:\Windows\system32\nhxinfhv”fЛvоwЃДwu.exe','32'); DeleteFile('C:\Windows\system32\ossmse)v”f.vоqw','32'); DeleteFile('C:\Windows\system32\pfrhmiRv”fWvоwжбБu.exe','32'); DeleteFile('C:\Windows\system32\pztbgzОu”fУuо@wЛMt.exe','32'); DeleteFile('C:\Windows\system32\qdwxyuowоyw>вдv`ю.exe','32'); DeleteFile('C:\Windows\system32\tvzrusѕuоYwАt`ю.exe','32'); DeleteFile('C:\Windows\system32\vpfeiepvоvw89lw`ю.exe','32'); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3); BC_ImportAll; ExecuteSysClean; ExecuteWizard('SCU', 2, 3, true); BC_Activate; RebootWindows(true); end.
2. Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темыКод:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
3. Важно! на Windows Vista/7/8 запускайте HiJackThis через контекстное меню проводника от имени Администратора. Пофиксите следующие строчки в HiJackThis если они у вас есть.
4. Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)Код:F2 - REG:system.ini: UserInit=C:\Windows\system32\userinit.exe,C:\Windows\system32\tvzrusѕuоYw Аt`ю.exe,C:\Windows\system32\miltrevuоYwZђ t`ю.exe,C:\Windows\system32\vpfeiepvоvw89lw`ю.exe,C:\Windows\system32\qdwxyuowоyw>вдv`ю.exe,C:\Windows\system32\ossmse)v”f.vоqw,„t.exe,C:\Windows\system32\jdoviddv”fЛvоw«кw.exe,C:\Windows\system32\nhxinfhv”fЛvоwЃДwu.exe,C:\Windows\system32\pfrhmiRv”fWvоwжбБu.exe,C:\Windows\system32\lrniopRv”fWvоw2”µs.exe,C:\Windows\system32\pztbgzОu”fУuо@wЛM t.exe,C:\Windows\system32\jnmellЮv”fгvоЏwЊ…w.exe,
5. Скачайте Malwarebytes' Anti-Malware или с зеркала, установите (во время установки откажитесь от использования Пробной версии), обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту.
Самостоятельно ничего не удаляйте!!!
Если лог не открылся, то найти его можно в следующей папке:
Файл требующегося лога имеет имя mbam-log-[data] (time).txt, например: mbam-log-2013-11-09 (07-32-51).txtКод:%appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.
Инструкции выполняются в том порядке, в котором они вам даны.
А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
Интересный блог Андрея Иванова по шифровальщикам
Антивирус на 30 дней => https://clck.ru/FKsBt
при запуска скрипта выдает - ошибка: ')' expected в позиции 11:17
Хорошо тогда попробуйте пофиксить указанные строчки. + Дополнительно сделайте лог UVS.
Инструкции выполняются в том порядке, в котором они вам даны.
А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
Интересный блог Андрея Иванова по шифровальщикам
Антивирус на 30 дней => https://clck.ru/FKsBt
Инструкции выполняются в том порядке, в котором они вам даны.
А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
Интересный блог Андрея Иванова по шифровальщикам
Антивирус на 30 дней => https://clck.ru/FKsBt
лог UVS
1. Выполните скрипт в uVS:
Компьютер перезагрузиться. Упакуйте содержимое папки ZOO с помощью WinRar, 7-Zip или WinZip в архив формата .ZIP с паролем virus и отправьте этот файл по ссылке "Прислать запрошенный карантин" над первым сообщением в теме.Код:;uVS v3.81.7 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 OFFSGNSAVE zoo %SystemDrive%\GOTVIEW\GOTVIEW.EXE zoo %SystemDrive%\GOTVIEW\REMOTE.EXE zoo %SystemDrive%\GOTVIEW\IRCONFIG.EXE deltmp restart
Сделайте лог MBAM.
Инструкции выполняются в том порядке, в котором они вам даны.
А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
Интересный блог Андрея Иванова по шифровальщикам
Антивирус на 30 дней => https://clck.ru/FKsBt
карантин отправил, лог MBAM прилагается
В MBAM удалите все найденное.
Сделайте новые логи AVZ
- Если у вас 32 разрядная версия windows, то скачайте Random's System Information Tool (RSIT) или с зеркала
- Если у вас 64 разрядная версия windows, то необходимо скачать эту версию Random's System Information Tool(RSIT)x64 или с зеркала
Запустите, выберите проверку файлов за последние три месяца и нажмите "Продолжить". Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.
Инструкции выполняются в том порядке, в котором они вам даны.
А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
Интересный блог Андрея Иванова по шифровальщикам
Антивирус на 30 дней => https://clck.ru/FKsBt
В MBAM удалил, запрошенные логи во вложении...
P.S. NOD все еще показывает вирус
1. Проверьте наличие этих файлов:
Если эти файлы найдутся в директории system32 тогда запакуйте все найденные файлы в zip архив с паролем virus и пришлите согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы.Код:C:\Windows\system32\jdoviddv”fЛvоw«кw.exe C:\Windows\system32\jnmellЮv”fгvоЏwЊ…w.exe C:\Windows\system32\lrniopRv”fWvоw2”µs.exe C:\Windows\system32\miltrevuоYwZђt`ю.exe C:\Windows\system32\nhxinfhv”fЛvоwЃДwu.exe C:\Windows\system32\ossmse)v”f.vоqw C:\Windows\system32\pfrhmiRv”fWvоwжбБu.exe C:\Windows\system32\pztbgzОu”fУuо@wЛMt.exe C:\Windows\system32\qdwxyuowоyw>вдv`ю.exe C:\Windows\system32\tvzrusѕuоYwАt`ю.exe C:\Windows\system32\vpfeiepvоvw89lw`ю.exe
2. Это от Drweb?
3. Уточните где Eset находит угрозу?Код:C:\30cnjb4j.exe
Инструкции выполняются в том порядке, в котором они вам даны.
А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
Интересный блог Андрея Иванова по шифровальщикам
Антивирус на 30 дней => https://clck.ru/FKsBt
Код:
C:\Windows\system32\jdoviddv”fЛvоw«кw.exe
C:\Windows\system32\jnmellЮv”fгvоЏwЊ…w.exe
C:\Windows\system32\lrniopRv”fWvоw2”µs.exe
C:\Windows\system32\miltrevuоYwZђt`ю.exe
C:\Windows\system32\nhxinfhv”fЛvоwЃДwu.exe
C:\Windows\system32\ossmse)v”f.vоqw
C:\Windows\system32\pfrhmiRv”fWvоwжбБu.exe
C:\Windows\system32\pztbgzОu”fУuо@wЛMt.exe
C:\Windows\system32\qdwxyuowоyw>вдv`ю.exe
C:\Windows\system32\tvzrusѕuоYwАt`ю.exe
C:\Windows\system32\vpfeiepvоvw89lw`ю.exe
1. таких файлов нет
2. C:\30cnjb4j.exe - да это Dr Web Cureit
3. Объект:
C:\Windows\system32\drivers\etc\hosts
Угроза:
Win32/Qhost троянская программа
Информация:
очищен удалением - изолирован
Запакуйте целиком папку C:\Windows\system32\drivers\etc в архив и загрузите на http://rghost.ru , полученную ссылку прикрепите.
+ Еще сделайте такой лог http://virusinfo.info/showthread.php?t=120678
Инструкции выполняются в том порядке, в котором они вам даны.
А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
Интересный блог Андрея Иванова по шифровальщикам
Антивирус на 30 дней => https://clck.ru/FKsBt
ссылка на etc: http://rghost.ru/50854857
в логе часть информации убрал (файл получается около 10мб, не загружается), она повторяется, начало и конец оставил...
Пришлите согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы
Код:C:\Users\Admin\AppData\Local\Yandex\Updater\fixhosts.exe
Инструкции выполняются в том порядке, в котором они вам даны.
А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
Интересный блог Андрея Иванова по шифровальщикам
Антивирус на 30 дней => https://clck.ru/FKsBt
Файл чистый. Прочитайте эту http://forum.esetnod32.ru/forum6/topic7021/ тему.
Это приложение, связанное с Яндексом. Дело в том, что оно пытается изменить файл hosts, что воспринимается антивирусом как вредоносное действие.
Инструкции выполняются в том порядке, в котором они вам даны.
А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
Интересный блог Андрея Иванова по шифровальщикам
Антивирус на 30 дней => https://clck.ru/FKsBt
удалил все приложения связанные с яндексом, в том числе папку со всем содержимым: \Yandex\Updater\fixhosts.exe
NOD перестал ругаться
Спасибо за помощь...
Уважаемый(ая) Сергей Викторович, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.